Vortrag von RA Karsten U. Bartels von HK2 Rechtsanwälte auf der Veranstaltung "Cloud Computing - Impulse für die Wirtschaft" am 17. September 2013 in der IHK Potsdam
6. Erforderliche Regelungen in Schriftform
Gegenstand und die Dauer des Auftrags
Umfang, Art und Zweck der vorgesehenen
Datenverwendung
Weisungsrechte des Auftraggebers
Kontrollrechte und Kontrollpflichten des Auftraggebers
Regelungen von Subunternehmerverhältnissen
Festlegung der „TOM“ gemäß § 9 BDSG
Datenrückgabe, Löschungspflichten
Zusätzliche Regelungen
Vertragsstrafen
Auftragsdatenverarbeitung, § 11 BDSG
ADV
9. Sorgfältige Auswahl des CSP
Regelmäßige Kontrolle
Dokumentation der Kontrollen
Problem: Umsetzung dieser Pflichten
Lösung: Prüfung durch Dritte
Weitere Pflichten nach § 11 BDSG
10. Testierung
Auditoren, Sachverständige, Rechtsanwälte, IT-
Sicherheitsbeauftragte, Wirtschaftsprüfer, etc.
Auditierung / Zertifizierung
BSI IT-Grundschutz, ISO 27001
datenschutz cert, DEKRA, TÜV
EuroCloud Star Audit
Europrise
ULD Schleswig-Holstein
Lösung: Prüfung durch Dritte
ADV TOM Zert.
11. Transparenz + Information
Ansprechpartner
IT-Sicherheitskonzept
Muster-ADV-Vereinbarung (CSP)
Workflow für Änderungen des Musters durch Kunden
Workflow für ADV-V des Kunden
Strategie für Vertragsverhandlungen
Tipps zum Datenschutz
13. Anforderungen an die Datenübermittlung aus EU-
Mitgliedstaat in Nicht-Mitglied der EU/ des EWR
1. Kein bereichsspezifisches Verbot
2. Gesetzlicher Erlaubnistatbestand oder Einwilligung des Betroffenen
3. Angemessenes Schutzniveau
Sicheres Drittland (z.B. Kanada, Schweiz)
EU Standardvertragsklauseln (EU-Model Clauses)
Binding Corporate Rules (BCRs, „Safe Haven“)
„Safe Harbor“ (nur USA)
Cloud - grenzüberschreitend
15. Düsseldorfer Kreis
Entschließungen, insbes. vom 28./29. September 2011
Kontrollierbarkeit, Transparenz, Beeinflussbarkeit der
Datenverarbeitung
International Working Group on Data Protection in
Telecommunications (IWGDPT), sog. Berlin Group
„Datenschutz darf nicht in der Wolke „verdunsten“ !
Sopot Memorandum zum Cloud Computing“, 27.04.2012
Cloud-Nutzung darf DS nicht mindern
Folgenabschätzung vor Nutzung
Größtmögliche Transparenz und Kontrolle für Nutzer
Anstrengungen im Bereich von Zertifizierungen und
Geschäftsmodellen
Rechtlicher Rahmen zu überprüfen
Datenschutzbehörden
16. Mitbewerber, kein Anspruch nach § 4 Nr. 11 UWG
Datenschutz regelt nicht das Marktverhalten
Betroffener
Vertragliche Ansprüche
§ 6 BDSG
Datenschutzbehörden
§ 42a BDSG Informationspflicht
§ 43 BDSG Ordnungswidrigkeit
§ 44 BDSG Straftat
Imageverlust
Folgen eines Verstoßes